スパイウェア「ペガサス」とは？

Pegasus（ペガサス）は、iOSの一部のバージョンとAndroidを実行しているデバイスにインストールすることができるスパイウェア。イスラエルのサイバーセキュリティ企業であるNSOグループが開発したものだ。

2016年8月、人権活動家が所有するiPhoneにインストールしようとして失敗した後に発見され、調査の結果、このスパイウェアの詳細や能力、悪用されたセキュリティの脆弱性が明らかになった。

トロント大学のCitizen Labは、2016年8月12日にLookoutにマルウェアの存在を報告した。LookoutとCitizen Labは、Appleに情報を報告した2016年8月15日まで、共同でソフトウェアの分析を行い、脆弱性の深刻度とマルウェアの能力を判断することを試みた。2016年8月15日から2016年8月25日にiOS 9.3.5の脆弱性パッチがリリースされるまで、3つの組織が協力して作業を行った。

ペガサスは、テキストメッセージの読み取り、通話の追跡、パスワードの収集、携帯電話の追跡、ターゲットデバイスのマイク（複数可）やビデオカメラ（複数可）へのアクセス、アプリからの情報収集などが可能だ。

アップルはこの脆弱性を修正するため、iOSソフトウェアのバージョン9.3.5をリリースした。このスパイウェアのニュースはメディアで大きく取り上げられた。「史上最も巧妙な」スマートフォン攻撃と呼ばれ、悪意のあるリモート脱獄エクスプロイトが検出されたのはiPhone史上初めてとなった。このスパイウェアを作成した企業であるNSOグループは、「認可された政府に、テロや犯罪に対抗するのに役立つ技術を提供している」と述べている。

2020年8月23日、イスラエルの新聞ハアレッツが 入手した情報によると、NSOグループは、アラブ首長国連邦をはじめとする湾岸諸国に、反体制活動家やジャーナリスト、ライバル国の政治指導者に対する国家監視の目的で、ペガサスのスパイウェアソフトを数億ドルで販売したと告発されている。

ペガサスの攻撃の概観

ペガサスでは、悪意のあるリンクをクリックすると、ペガサスは密かにデバイスの脱獄を可能にし、テキストメッセージの読み取り、通話の追跡、パスワードの収集、電話の位置の追跡だけでなく、iMessage、Gmail、Viber、Facebook、WhatsApp、Telegram、Skypeなどのアプリから情報を収集することができる。

大手セキュリティ会社Lookoutの報告書によると、ペガサスは、常時接続（WiFi、3G/4G）、音声通信、カメラ、電子メール、メッセージング、GPS、パスワード、連絡先リストのようなモバイルでしか利用できない機能の組み合わせを利用している。その機能的なモジュール性、監視する通信やユーザーデータの幅の広さ、他のアプリケーションからデータを盗み出すために他のアプリケーションを利用するための様々な手法を駆使した結果、現在までのところ、ペガサスは大手セキュリティ会社Lookoutがモバイルエンドポイントで遭遇した中で最も巧妙に開発された民間開発の攻撃だ。

この攻撃は、広く利用されているセキュアなメッセンジャー・アプリケーションにフックして、ユーザーのアプリが暗号化して送信する前に、そのアプリからクリアテキスト・データをコピーする。ユーザーと通信している相手から見れば、通信は安全だが、ペガサスインスタンスの管理者は通信のクリアテキストを密かに傍受している。ペガサスはターゲット1人あたり平均25,000ドル以上という高額な価格設定になっている。少なくとも 1 つの事例では、NSO Groupは300ライセンスを 800万ドルで販売した。

攻撃の配信は非常に単純で、ペイロードの配信は無音です。攻撃は、攻撃者が（SMS、電子メール、ソーシャルメディア、またはその他のメッセージを通じて）ウェブサイトのURLを特定のターゲットに送信することで始まる。ユーザーが取るべき行動は、リンクをクリックすることだけだ。ユーザーがリンクをクリックすると、ソフトウェアは被害者のデバイスに対して一連の悪用を黙々と実行し、スパイ活動用ソフトウェアパッケージをインストールできるように、リモートでデバイスを脱獄する。ユーザーに何かが起こったことを示す唯一の兆候は、リンクがクリックされた後にブラウザが閉じることだ。

これを実現するために、スパイウェアは一度ユーザーの携帯電話を脱獄すると、データを取得するために悪意のあるバージョンのアプリを被害者のデバイスにダウンロードするのではなく、デバイスにすでにインストールされているオリジナルのアプリを危険にさらす。これには、Facetimeやカレンダーなどのプリインストールされたアプリや、公式App Storeのアプリが含まれていない。

通常、iOSのセキュリティメカニズムでは、通常のアプリがお互いにスパイすることはできないが、スパイの「フック」をインストールすることができる。

侵入されたデバイスの上で Pegasusはリモート脱獄と「フッキング」と呼ばれる技術を利用している。フッキングはデバイス上で実行されている正当なプロセスにPegasusのダイナミックライブラリを挿入することで達成される。これらのダイナミックライブラリは、iOS脱獄コミュニティで知られているCydia Mobile Substrateと呼ばれるフレームワークを使用してアプリをフックするために使用することができ、Pegasusはこのフレームワークを悪用の一部として使用している。

このコンテンツにアクセスすることで、ターゲットが所有する他のアカウント、例えば銀行、電子メール、およびデバイス上またはデバイス外で使用する可能性のあるその他のサービスへのさらなるアクセスを得るために使用される可能性がある。

この攻撃は、エクスプロイトコードとスパイソフトウェアの両方を含む3つの別々のステージで構成されています。各ステージは連続しており、各ステージでは、デコード、エクスプロイト、インストール、および後続のステージの実行に成功する必要があります。各ステージは、Tridentの脆弱性のうちの1つを利用して成功裏に実行する必要がある。

• STAGE 1 デリバリーとWebKitの脆弱性。このステージは、WebKit（Safariなどのブラウザで使用されている）の脆弱性（CVE-2016-4657）を悪用したHTMLファイル（1411194s）の形で初期URLを経由して降りてきる。
• STAGE 2 脱獄。このステージは、デバイスの種類（32ビット vs 64ビット）に基づいて、最初のステージのコードからダウンロードされます。ステージ2は難読化され暗号化されたパッケージとしてダウンロードされます。各パッケージはダウンロードごとに固有のキーで暗号化されるため、従来のネットワークベースの制御は効果がない。iOSカーネルを悪用するために必要なコード（CVE-2016-4655およびCVE-2016-4656）と、ステージ3用のパッケージをダウンロードして解読するローダーが含まれている。
• STAGE 3 スパイソフトウェア。このステージはステージ2でダウンロードされ、デバイスの種類（32ビット vs 64ビット）にも基づいています。ステージ 3 には、スパイウェア、デーモン、その他のプロセスが含まれており、デは第二段階で脱獄されている。ステージ3では、攻撃者がスパイしたいアプリケーションにフックをインストールする。さらに、ステージ3では、デバイスが以前に別の方法で脱獄されているかどうかを検出し、脱獄されている場合は、SSH経由など、脱獄が提供するデバイスへのアクセスをすべて削除する。このソフトウェアには、特定の条件が存在する場合に自身を削除するためのフェイルセーフも含まれている。

背景

携帯電話が私たちの個人生活や仕事に密接に統合されていく中で、悪意のある行為者は、脅威の存在や行為者の意図を知らなくても、被害者のデバイス上で実行できる高度なアプリケーションを積極的に作成している。これは、アドウェア、バンキング・トロイの木馬、SMS詐欺などの金銭的なものから、個人情報や企業の知的財産を狙うものまで、モバイル・デバイスを標的とする脅威の多様性に見ることができる。スパイウェアは、被害者が知らないうちに感染したデバイスから特定の情報を取得するように設計された悪意のあるアプリケーションで、後者に該当する。

スパイウェアアプリケーションには、被害者のSMSメッセージや連絡先の詳細を抽出したり、通話を録音したり、通話ログにアクセスしたり、デバイスのマイクやカメラをリモートで起動して、音声、ビデオ、画像のコンテンツを密かにキャプチャしたりする機能が含まれていることがよくある。

これらの豊富な機能に加えて、スパイウェアの中には、悪意のあるアプリケーションをリモートでターゲットデバイスに配信するという同様に重要な機能を持つものもあります。これは複雑で技術的に困難な問題であり、民間のセキュリティ企業や企業のバグ報奨プログラムが、このリモート配信を容易にするゼロデイエクスプロイトに多額の資金を支払っていることからも証明されている。

ガンマ・グループとハッキング・チームという2つの民間セキュリティ企業が、圧政的な政府に販売されているモバイル監視ソフトウェアを開発したことをメディアが明らかにしたことで、2つの民間セキュリティ企業はともに人々が知るところとなった。

これらの製品は非常に高価であることが多く、この種のモバイルスパイウェアの作成が複雑であることや、ゼロデイエクスプロイトが含まれているという事実を考えると、一般的には資金力のある攻撃者しかアクセスできない。

イスラエルを拠点とするNSOグループは、5年以上の運営期間を経ているにもかかわらず、サイバーセキュリティコミュニティのスポットライトを避けてきた。Niv Carmi、Shalev Hulio、Omri Lavieによって2010年に設立されたNSOグループは、携帯電話監視ソフトウェアを開発し、世界中の政府に販売していることを公言している。

NSOグループは、その監視能力は検出されないと主張しており、創業者の一人は「私たちは完全に幽霊だ」と述べている。プライベート・エクイティ企業のフランシスコ・パートナーズは、2014年にNSOグループを1億1,000万ドルで買収した。NSOグループの創業者は、サイバー攻撃と防衛の両方の分野で活躍しており、モバイルセキュリティ企業のKaymeraも設立している。

参考文献

1. Lookout. "Technical Analysis of Pegasus Spyware".

Photo by Kuroko Ukou on Unsplash